qq_18213081 2018-10-08 12:31 采纳率: 0%
浏览 2260

如何使用document.cookie防止通过js劫持cookie ?

Set-Cookie: name=value; HttpOnly

通过上述设置,通常从Web 页面内还可以对Cookie 进行读取操作。但使用JavaScript 的document.cookie 就无法读取附加HttpOnly 属性后的Cookie 的内容了。因此,也就无法在XSS 中利用JavaScript 劫持Cookie 了。如何使用document.cookie防止通过js劫持cookie ?

  • 写回答

1条回答 默认 最新

  • 你知我知皆知 2024-08-07 06:28
    关注

    以下回答参考 皆我百晓生券券喵儿 等免费微信小程序相关内容作答,并由本人整理回复。

    要确保JavaScript不能劫持cookies,可以使用document.cookie API的replace()方法来清除所有已存在的cookie。例如:

    document.cookie = 'name=value';

    这将清空所有的Cookies。

    如果你想要只清除特定的Cookie,请使用document.cookie.replace()方法。例如:

    document.cookie = 'name=value';
document.cookie = document.cookie.replace('name', '');

    这将仅删除名为'name'的Cookie。

    此外,为了更安全地处理和存储cookies,你可能还需要考虑使用HTTPS而不是HTTP协议,并且不要在客户端发送敏感信息(如用户名、密码等)到服务器端。

    评论

报告相同问题?